Link11-DDoS-Report: Cyber-Kriminelle haben Linux-Rechner, WordPress und IoT ins Visier genommen

DDoS Schutz
Der professionelle Schutz vor DDoS Attacken wird für Unternehmen immer wichtiger

DDoS-Attacken können Unternehmen Millionen kosten, Kunden vertreiben oder sogar ganze Branchen in den Ruin treiben. Der DDoS-Spezialist Link11 präsentierte auf der CeBIT erstmals einen Report für den deutschsprachigen Raum. Die Studie zeigt: Die Zahl der DDoS-Angriffe wie auch deren Bandbreiten nehmen an Intensität zu und werden immer häufiger für Erpressungen genutzt.

5.000 DDoS-Angriffe im vierten Quartal 2015

Pünktlich zur CeBIT präsentierte Link11 einen Report zur DDoS-Sicherheitslage in der D-A-CH-Region. Er basiert auf den Daten von 5.000 abgewehrten Attacken auf Webseiten und Server, die von Link11 gesichert werden. Der Untersuchungszeitraum erstreckt sich auf das vierte Quartal 2015.

Der Report ist ein „regionales Novum“ – denn bislang lieferten die Security Reports wenig Datenmaterial zur Bedrohungslage im deutschsprachigen Raum ab. Verisign konstatierte zuletzt für Q4/2015 weltweit 85 Prozent mehr DDoS-Angriffe im Vergleich zum Vergleichszeitraum des Vorjahres und 15 Prozent mehr Attacken als im vorangegangenen Quartal.

Das sind die acht wichtigsten Ergebnisse der DDoS-Studie von Link 11

Link11 DACH Report DDOS Angriffsdauer. Zur Großansicht auf das Bild klicken.
DDoS-Attacken auf Firmen sind häufige, unerwünschte Vor-Weihnachtsgeschenke von Cyber-Kriminellen. Zur Großansicht auf das Bild klicken

 

  • Attacken-Häufigkeit. Alle vier Minuten stand ein Unternehmen der D-A-CH-Region von Oktober bis Dezember 2015 unter Beschuss. Der Dezember ist sehr beliebt als „Attacken-Monat“ – womöglich wegen des Weihnachtsgeschäfts.
  • Attacken-Länge. Nach Erkenntnissen von Link11 fallen die Attacken zeitlich oft kurz bis zu einer Stunde aus, um so eine große Menge an Servern anzugreifen und gleichzeitig Ressourcen effizient einzusetzen.
  • Attacken-Strategien. Geht eine Webseite aufgrund einer Verteidigungsstrategie nach einer initialen, kurzen Attacke nicht offline, suchen die Angreifer in effizienter Manier neue Ziele. Die Kurzzeit-Strategie wird außerdem dafür genutzt, um eine große Menge an Servern simultan anzugreifen und Folge-Attacken an diesen Schwachstellen auszurichten. Rund 95 % sind Volumen-Attacken, nur 5 % richten sich auf Applikationen. Beliebt sind auch saisonale Angriffe auf den Online-Handel – wie zum Beispiel auf britische Floristen-E-Shops kurz vor dem Valentinstag oder potenziell Online-Spielzeuganbieter kurz vor Weihnachten.
Link11 DACH Report DDoS Attackenstärke
Die stärkste DDoS-Attacke in Q4/2015 erreichte 104 Gbps. Öfter sind niedrig-volumige Angriffe. Zur Großansicht auf das Bild klicken.
  • Attacken-Intensität. Link11 identifizierte im Untersuchungszeitraum vier Attacken mit Bandbreiten über 80 Gbps, sogenannte Hyper-Attacken. Die Spitzen lagen sogar bei 104 Gbps. Die durchschnittliche Attacken-Stärke lag jedoch bei 3 Gbps – zum Teil schon zu viel für kleinere Firmen, die nur mit 1 Gbps Leitungen ans Netz angebunden sind.
  • Attacken-Schäden. Die Ausfallzeiten ungeschützter Netzwerk-Strukturen reichten von Minuten bis hin zu mehreren Tagen.
  • Attacken-Ziele. Beliebte Angriffsziele: Banken, die von Vertrauensverlusten durch offen gelegte mangelnde Sicherheit besonders betroffen sein können, und Online-Händler mit Shops, die auf Logistik und permanente 24/7 Verfügbarkeit angewiesen sind. Ein bekanntes Unternehmen, das zuletzt unter einem DDoS-Angriff leiden musste, war der österreichische Telekomanbieter A1. Laut Link11 unterschätzen große Unternehmen auch, dass kleine Zulieferbetriebe mit geringem Schutz in das Visier geraten können, und damit gesamte Logistikketten bedroht sind.        
  • Attacken-Herkunft. Die Quellenländer für die abgewehrten Angriffe wurden in der Studie nach der Art der Attacken unterschieden: DNS-, NTP- oder SSDP-Reflektion-Attacken. Reflection-Attacken (R-A) sind besonders beliebt, weil sie über die Zwischenebenen von öffentlich zugänglichen Serverlandschaften mit verschleierten IP-Adressen gespielt werden. DNS-R-A werden zu fast einem Viertel aus Russland geplant, während bei NTP-R-A etwa zu gleichen Anteilen die USA, Russland und Deutschland Quellenländer sind. SSTP-R-A gehen zu mehr als 70 Prozent aus China aus, nehmen zu und zielen v. a. auf internetfähige Geräte wie Spielekonsolen, Webcams und Drucker ab.

DDoS: Wer sind die Angreifer?

Es lassen sich über die Studie hinaus vier Motivlagen bei den DDoS-Angreifern unterscheiden: Politische Angreifer, sogenannte „Hacktivisten“, haben das Ziel, Seiteninhaber unliebsamer politischer oder gesellschaftlicher Positionen zu schädigen. Sehr bekannt ist „Anonymous“ – das Netzwerk bekannte sich zuletzt dazu, den IS und aus Protest gegen Wal- und Delfinfang die Webseiten japanischer Flughäfen sowie der isländischen Regierung attackiert zu haben. Eine weitere potenzielle Angreifer-Gruppe stellen Wettbewerber dar. Zwar wurden bislang zuletzt keine von Unternehmen in Auftrag gegebenen Attacken in Europa bekannt, jedoch stellt das Darknet möglicherweise künftig für manches Unternehmen einen attraktiven Zugangsmarkt für den Einkauf von DDoS-Angriffen auf Konkurrenten dar.

Eine weitere beliebte Angriffs-Taktik stellt der Datendiebstahl dar. Hierbei werden vordergründig die Server von Unternehmen unter Beschuss genommen. Im Hintergrund werden sensible Daten gestohlen, die für Erpressungen genutzt werden. Zahlt das DDoS-Opfer nicht, wird mit der Publikation gestohlener Passwörter oder anderer Kundendaten gedroht.

Finanziell motivierte DDoS-Angriffe mit organisierten Bitcoin-Schutzgeld-Erpressungen stellen das am stärksten wachsende Segment der DDoS-Urheber dar. Angriffsziel Nummer Eins sind: Banken, Betreiber von Online-Shops sowie Rechenzentren und Anbieter von Online-Services. Laut Link11 kommen immer mehr Branchen dazu. Im Oktober 2015 griff zum Beispiel die „Armada Collective“ Provider und Marketing-Agenturen in ganz Europa an. Attacken werden gezielt nach Geschäftsrisiken bestimmter Branchen ausgesucht: Je länger die Ausfallzeit – desto höher die Kosten und Geschäftsrisiken – desto höher die Neigung zur Lösegeldzahlung. Link11 empfiehlt übrigens, nicht zu zahlen.

DDoS-Trends

LINUX
LIniux Server sind ein beliebtes Angriffsziel dür DDoS Angriffe

Link11 skizziert im Report die globale DDoS Angriffsstrategie 2.0. Beispielsweise geraten durch den Trend zum „Internet of Things“ immer mehr internetfähige Hardware in den Fokus der Cyber-Kriminellen.Nicht zuletzt sind „Voice-over-IP-Strukturen“ oftmals schwach geschützt und daher im Fadenkreuz der Cyber-Angriffe. Einige Trends neu entdeckter Schwachstellen:

  • Linux-Server. Sehr beliebt bei DDoS-Aktivisten. Im Oktober 2015 attackierte das XOR-Botnetz u.a. Webseiten von asiatischen Gaming-Betreibern. Der DDoS-Trojaner „Chikdos“ zielte weltweit auf MySQL-Server ab und befiel auch Linux-Rechner.
  • Überwachungskameras. Die Angreifer haben hier Schwachstellen entdeckt und verseuchen diese mit Trojanern, die speziell für diese Geräte ausgelegt sind und dahinter liegende Netzwerke infizieren. Im Herbst letzten Jahres wurden laut Link11 rund 900 Geräte, die unter der Linux Version Busy-Box laufen, gezielt für Angriffe ausgeguckt.  
  • Mobile Endgeräte. DDoS-Angreifer haben im Herbst letzten Jahres rund 3 Milliarden Requests einer Attacke über Smartphones und Tablets aus China platziert und dabei ein chinesisches Werbe-Netzwerke infiltriert. 
  • Word-Press-Blogs: Die XML-Schnittstelle RPC in der Blog-Software wurde insbesondere im deutschsprachigen Raum von den Kriminellen als willkommene Pingback-Plattform für Attacken entdeckt.

„Wolle DDoS-Trojaner kaufen?“ :-) Kein Problem, der Handel mit DDoS-Malware und Dienstleistungen rund um Erpressungs-Know-how boomt. Die Gruppe „Lizard Squad“ bietet DDoS-Attacken auf Mietbasis an. Dabei kostet ein 100-Sekunden-Angriff 2,99 US-Dollar. Die Kosten richten sich nach Kapazitäten, Performance der Botnetze sowie Länge der Angriffe. Kurz vor Weihnachten hatte diese Gruppe Playstations und X-Boxen lahmgelegt.

Über Link 11: „Datenschutz in Germany“

LInk11 Logo

Es gibt momentan nur wenige, rein auf DDoS-Schutz spezialisierte Dienstleister am Markt. Laut Katrin Gräwe, Head of International Corporate Communications, tummeln sich bisher in Europa nur wenige Spezial-Anbieter in dieser IT-Security- Spezial-Nische. Das IT-Unternehmen hat vor vier Jahren begonnen, sich neben dem Server-Hosting auf den Schutz von DDoS-Attacken zu fokussieren und mit der „DDoS Protection Cloud“ ein eigenes Produkt an den Markt gebracht. Link11 verspricht den Kunden, ihr Unternehmen im 24/7-Modus vor Cyber-Attacken zu schützen. Betreiber kleiner Webseiten ohne Shops und DNS-Services können sich bei Link11 schon mit einer Monatslizenz im dreistelligen Euro-Bereich absichern lassen. Der DDoS-Schutz kann innerhalb von zwei Stunden aufgebaut werden.

Das Unternehmen mit Sitz in Frankfurt a.M. adressiert vor allem den Markt im deutschsprachigen Raum, hat seine Netzwerk-Strukturen am Unternehmenssitz angesiedelt, um der wachsenden Skepsis von Unternehmen und Privatanwendern gegenüber Servern und Cloud-Services in den USA entgegenzukommen. Christopher Blair, PR-Manager, sagt: „Die Kunden fordern, dass die Daten in Deutschland bleiben sollen“. Zu den Kunden von Link11 gehören große Unternehmen und auch einige DAX-Konzerne. Selbst Angela Merkel ließ es sich nicht nehmen, den Messestand von Link11 auf der CeBIT zu besuchen.

Zurück

Kommentare

von Blem Blosios |

Sehr interessant! aufschlussreich, dass deutsche Firmen keine Sicherheitsdienstlleistungen amerikanishcer Firmen mehr in Anspruch nehmen möchten. LOL

Einen Kommentar schreiben

Bitte addieren Sie 7 und 2.*

Diesen Beitrag teilen
oben